La gestione del rischio

Proteggere le nostre informazioni vuol dire analizzare le situazioni e gli ambiti in cui sono trattate e valutare i rischi di sicurezza associati.

Il risk management si compone dei diversi processi di risk identification, attraverso cui si identificano i rischi, risk evaluation e risk assessment per la loro valutazione e infine il loro trattamento, il risk treatment.

In molti Paesi, i legislatori prevedono norme che disciplinano iniziative volte:

  • alla riduzione o alla gestione del rischio connesso alle attività di sistemi complessi,
  • a contenere o evitare eventuali effetti negativi che una minaccia (evento malevolo o incidente) comporterebbe sulle persone, sulle cose e sull’ambiente.

Le componenti del rischio

Per una stima del rischio, valuta adeguatamente una serie di elementi che rispondono tutti a delle domande ben precise:

 

Quali indicazioni seguire?

Sono diverse, a livello internazionale, le organizzazioni nazionali e sovranazionali come l’ISO o l’ENISA  o il NIST, che hanno prodotto e aggiornato standard e linee guida per implementare un percorso di risk management, con particolare riferimento alla sicurezza dell’informazione e quindi alla cyber security.

La famiglia della ISO/IEC 27001

L’ISO (International Organization for Standardization) ha definito lo standard ISO/IEC 27001  che individua i requisiti per impostare e gestire un sistema di gestione della sicurezza delle informazioni (Sistema di Gestione della Sicurezza dell’Informazione – SGSI) ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

La famiglia delle norme ISO 27000, ad oggi pubblicate, si distingue in aree tematiche:

  • terminologia (ISO/IEC 27000),
  • requisiti generali (ISO/IEC 27001, ISO/IEC 27006),
  • linee guida generali (ISO/IEC 27002-05, ISO/IEC 27007, ISO/ IEC TR 27008),
  • linee guida specifiche per settore.

La norma ISO/IEC 27001:2013 è lo standard di riferimento per l’omonima certificazione del Sistema SGSI, che a sua volta coinvolge:

  • ISO/IEC 27002 (Information technology — Security techniques — Code of practice for information security management): una raccolta di “best practices”, conformi ai requisiti della norma ISO 27001:2005 e utili a proteggere le risorse informative;
  • ISO/IEC 27005 (Information technology — Security techniques — Information security risk management): che fornisce indicazioni sulle modalità e le fasi da adottare per una corretta valutazione del rischio aziendale, in particolare sul rischio inerente la sicurezza delle informazioni. Tale standard, nella versione 2011, è stato allineato con la norma ISO/IEC 31000;
  • ISO/IEC 31000 (Risk management – Principles and guidelines): che è lo standard internazionale che fornisce una serie completa di principi e linee guida per aiutare le organizzazioni a eseguire l’analisi e la valutazione dei rischi.

Una norma correlata alla ISO 31000 è la :IEC 31010: 2009, emessa dalla IEC (International Electrotechnical Commission), in cui vengono presentate le 31 tecniche oggi più utilizzate descrivendone: le caratteristiche, i vantaggi e gli svantaggi.